Кто такие специалисты по информационной безопасности и где их искать

Кто такие специалисты по информационной безопасности и где их искать

Особенности профессии, обзор рынка и каналов подбора

Продолжаем серию материалов об особенностях найма IT-профессионалов. На этот раз разобрались в тонкостях подбора специалистов по информационной и кибербезопасности. В этом нам помогли основатель кадрового агентства SmartyHR Ольга Теленова и Technical Talent Acquisition Specialist в F.A.C.C.T. Ульяна Тарасевич.

Эту статью мы выпустили в двух частях. Перед вами первая часть, где мы рассказываем, чем занимаются специалисты по инфобезу и где их искать. А во второй части углубимся в детали найма и оценки навыков кандидатов.

Ольга Теленова,
основатель ИТ-агентства SmartyHR
Ульяна Тарасевич,
Technical Talent Acquisition Specialist, F.A.C.C.T.

Кто такой специалист по информационной безопасности (ИБ)

Специалисты по инфобезу обеспечивают конфиденциальность, целостность и доступность данных. Например, они могут заниматься защитой информации от утечек или несанкционированного доступа. 

При этом часть специалистов по информационной безопасности напрямую с IT-сферой не связаны. Физический архив с ценными бумагами тоже нуждается в правильной защите. Для этого разрабатываются нормы и стандарты, за соблюдением которых также следит специалист по информационной безопасности.

В этом материале мы будем говорить о людях, которые защищают цифровые данные и работают в IT-сфере.

Можно выделить две основные группы таких сотрудников:

  1. Специалисты по «бумажной безопасности». Такие люди хорошо ориентируются в законодательной базе в сфере ИБ. Их экспертиза находится на стыке знаний правовых аспектов, IT-индустрии и психологии.
  2. Специалисты по практической безопасности. Они разрабатывают средства защиты информации, занимаются установкой и настройкой software- и hardware-инструментов в конкретных компаниях. К этой группе относят и специалистов по кибербезопасности.

Схематично взаимоотношений этих сфер деятельности можно изобразить так:

Кто такой специалист по информационной безопасности (ИБ)

Специалистов по информационной безопасности можно разделить и по другому принципу:

  • инхаус-сотрудники — те, кто работает внутри компании;
  • консультанты, которые работают в системном интеграторе и взаимодействуют с разными заказчиками. Их работа проектная: после решения задачи одного клиента специалист переключается на другой проект;
  • разработчики решений для защиты информации.

В этой статье Ольга поделилась экспертизой в подборе специалистов по «бумажной безопасности» в системные интеграторы, а Ульяна рассказала, как искать и собеседовать специалистов по практической безопасности для работы в штате компании.

Что происходит на рынке

Ольга Теленова:

На специалистов по информационной безопасности крайне высокий спрос. Даже существующие образовательные программы не справляются с поставкой кадров. Во многом ажиотаж объясняется опубликованным в мае 2022 указом президента «О дополнительных мерах по обеспечению информационной безопасности РФ». Этот указ требует от компаний ужесточить политики информационной безопасности, а для этого нужны соответствующие специалисты.

Специалисты по информационной безопасности из Москвы уровней миддл и сениор получают по 5–7 офферов в неделю.

Джунов с опытом от года обычно нанимают во внутренние команды компаний с выстроенной системой наставничества. В системные интеграторы ищут опытных самостоятельных специалистов, которых не придется обучать с нуля. Обычно это профессионалы уровня «джун+» и выше. Они должны уметь быстро переключаться между проектами, погружаться в новые вводные данные, работать в высоком темпе, уверенно чувствовать себя в переговорах. 

Специалист из системного интегратора может перейти в любую компанию и легко там адаптироваться. Такие сотрудники обладают универсальным опытом: они взаимодействуют с разными клиентами, работают в высоком темпе, знают много нормативных актов, пишут различную документацию — модели угроз, политики инфозащиты. Консультанты проводят аудит на соответствие требованиям: 

В обратную сторону переходы происходят довольно редко. Один из наших заказчиков рассказал, что лишь 10% сотрудников перешли в компанию-интегратор с инхаус-позиций.

Ульяна Тарасевич:

Кроме необходимости ужесточать политики безопасности, многим компаниям приходится открывать внутренние SOC — Security Operation Center. Для этого требуются квалифицированные специалисты. 

Сейчас на рынке спрос значительно выше предложения: нанять хорошего разработчика проще, чем специалиста по кибербезопасности. Предполагаю, что из-за дефицита кадров будут увеличиваться зарплатные вилки и перегреется рынок.

В кибербезопасности постоянно появляются новые роли: к SOC-аналитикам, DevSecOps или пентестерам добавляются позиции вроде threat hunter.

Где готовят специалистов по безопасности

Ульяна Тарасевич:

Программы подготовки специалистов по информационной безопасности есть как минимум в 50 вузах России, а также колледжах и техникумах.

В некоторых вузах студенты учатся на направлении «Информационная безопасность» по несколько устаревшим технологиям и доучиваются самостоятельно. В других университетах есть лаборатории от IT-компаний, где они разворачивают свое ПО, а их сотрудники читают лекции и обучают студентов на реальных кейсах. Для студентов также организуют стажировки в этих компаниях с возможностью получить приглашение в штат на позицию джуна. Например, в нашей компании стажировку сейчас проходят 15 человек. 

Готовят специалистов и онлайн-школы:

Выпускников онлайн-университетов можно рассматривать на начальные роли в инхаус. Например, мы сотрудничаем с известной образовательной платформой: приглашаем на стажировки людей, которые закончили там обучение. При этом даже с сертификатом о прохождении курсов всем выпускникам требуется усиленная самоподготовка, чтобы претендовать даже на самые младшие позиции. Рекомендую обращать на это внимание при подборе.

О зарплатах

Ольга Теленова:

Оклад специалиста по ИБ зависит от компании, опыта работы и компетенций. При этом общий доход консультанта складывается не только из оклада, но и весомых проектных премий. 

Приведу примерные оклады по каждому грейду без учета премий:

Кто такие специалисты по информационной безопасности и где их искать

Ульяна Тарасевич:

В каждом направлении кибербезопасности по-разному определяют необходимый уровень для перехода с грейда на грейд. Я не поддерживаю идею определять уровень специалиста по количеству лет в профессии. Будем говорить о полноте знаний и навыков, применимых к конкретным ролям.

Оклады сильно разнятся в зависимости от задач и проектов. Поэтому я назову очень приблизительные вилки инхаус-специалистов:

Кто такие специалисты по информационной безопасности и где их искать

Где и как искать специалистов по информационной безопасности

Ольга Теленова:

Как правило, мы начинаем подбор в традиционной рекрутерской триаде: Хедхантер, Линкедин, Хабр. Используем внутренний поиск и пишем булевые запросы.

При поиске специалистов по ИБ важно сразу задействовать и другие каналы: конкуренция за кандидатов слишком высока, поэтому надо расширять воронку подбора.

Где еще можно искать кандидатов:

  1. Каналы и чаты в телеграме:
  2. Профильные мероприятия — митапы и конференции. Например, мы искали участников SOC Форум в соцсетях по хэштегу #SOCforum.
  3. Сообщества. В группах вроде CISOCLUB – информационная безопасность можно не только следить за новостями индустрии и тенденциями, но и изучать фотографии с мероприятий и «лайки» под постами.

Можно придумывать любые нетривиальные способы. Однажды мы искали кандидатов так:

  1. Составили список конкурентов и компаний-доноров, чьи специалисты нам были интересны. 
  2. Нашли профили сотрудников таких компаний в социальных сетях. Нас особенно интересовали те, кто активно делится деталями жизни компании, — эйчары, руководители отделов, менеджеры по продажам, собственники бизнеса. 
  3. Изучили фотографии в профилях этих людей — искали коллективные фотографии с корпоративов.
  4. Нашли нужных нам людей с общих фото в Яндекс Картинках. 

Особенность поиска специалистов по информационной безопасности в том, что кандидаты могут по-разному называть свое резюме:

  • специалист по ИБ,
  • инженер по ИБ,
  • консультант по ИБ,
  • главный специалист по ИБ,
  • information security consultant,
  • консультант,
  • аудитор,
  • аналитик.

Если искать специалистов по названию должности, в выдаче будет много нерелевантных результатов. Поэтому я рекомендую в запросе использовать названия конкретных законов и нормативных актов, которые должны знать такие кандидаты. Например, в качестве ключевого слова можно использовать «152-ФЗ» или «№152 ФЗ “О персональных данных”». Можно использовать и формулировки из описания должностных обязанностей, например, «разработка модели угроз».

Ульяна Тарасевич:

Расскажу о нетривиальных каналах поиска.

Хантинг «звезд» индустрии

Часто на позиции сениоров или выше требуются единороги — специалисты, которые хорошо разбираются в определенной области, пишут статьи, отчеты и книги-бестселлеры на эти темы. Приходится искать их контакты через знакомых и профессиональные комьюнити, а потом писать им напрямую.

Поиск кандидатов среди участников CTF-соревнований

CTF-соревнования — это состязания по спортивному хакингу. Обычно в таких состязаниях участвуют команды из разнопрофильных специалистов: один решает OSINT-задачи, другой занимается реверсным анализом, третий пишет код, четвертый отвечает за инфраструктуру. 

Бывали случаи, когда мы нанимали специалистов целыми командами: выходили на контакт с одним из участников, а он звал за собой всех остальных. Найти команды можно на сайтах соревнований. Самое крупное и горячо любимое мной соревнование — VolgaCTF.

Мониторинг активности конкурентов и поиск по открытым источникам

Следите за анонсами и рассылками конкурентов о том, какие технологии они осваивают и что разрабатывают. Например, вы узнали, что некая компания использует такое же решение в сфере инфобеза, что и ваша. Тогда можно попробовать схантить ее сотрудников, если их опыт кажется вам релевантным. Здесь важно, чтобы хантинг был этичным.

Нетворкинг

Общайтесь со специалистами, которых недавно наняли, узнавайте у них слухи и новости индустрии: кто собирается переходить в другую компанию, кто с какими технологиями работает.

Полезно общаться «на будущее». Если сейчас у вас нет подходящей вакансии, ничего не мешает подружиться с кандидатом, познакомить его с компанией, чтобы оставаться на связи и пригласить на интервью позже.

Резюмируем

  1. Специалисты по информационной безопасности могут заниматься и защитой бумажных документов от несанкционированного доступа. Но обычно такие специалисты работают преимущественно с нормативной базой, а не занимаются техническими нюансами.
  2. Специалист по информационной безопасности обеспечивает конфиденциальность, целостность и доступность информации. 
  3. Специалисты по ИБ работают внутри компаний или в системных интеграторах — организациях, которые реализуют проекты для разных заказчиков и разрабатывают решения для защиты данных.
  4. Выделяют также специалистов по «бумажной» и практической информационной безопасности.
  5. После указа «О дополнительных мерах по обеспечению информационной безопасности РФ» спрос на экспертов в сфере ИБ резко вырос. Однако востребованы специалисты уровня «практически мидл», «мидл» и выше.
  6. Специалистов по информационной безопасности готовят в десятках российских вузов и колледжей, а также в онлайн-университетах и на курсах. 
  7. Выпускников онлайн-курсов можно приглашать на стажировки, а в редких случаях — на позицию джуна. Знаний и опыта, полученного на курсах, обычно недостаточно. Отдавайте предпочтение тем, кто занимается активной самоподготовкой.
  8. Где искать кандидатов: 
    • на Хедхантере, 
    • на Хабре, 
    • в Линкедине, 
    • в тематических телеграм-чатах и каналах, 
    • в профильных комьюнити, 
    • на тематических мероприятиях,
    • на отраслевых соревнованиях, 
    • в компаниях-конкурентах, 
    • среди «звезд» индустрии.
  1. Лучше искать кандидатов не по названию должности, а по ключевым словам — названиям технологий или законов.